Schroeder lo explica correctamente, y esta sola frase realmente puede (casi por sí sola) responder a su pregunta .
La pregunta se convierte en "¿de quién estás protegiendo los datos?"
Me gustaría ampliar eso solo un poco, sin embargo.
Si su única preocupación es proteger los datos de escuchas informales ocasionales (p. ej., ese tipo espeluznante que está a su lado en la cafetería), las tecnologías de seguridad de conexión de máquina a máquina como SSL son generalmente suficientes. Suponiendo que el mecanismo de protección en sí mismo no es débil de alguna manera, generalmente tiene poco que temer de las personas que detectan su tráfico.
Sin embargo, si está preocupado por proteger sus datos de agencias gubernamentales, información interna maliciosa en su ISP, información interna maliciosa en el host de la aplicación, los sistemas de monitoreo de su empleador u otros atacantes avanzados con posicionamiento de intermediario, entonces Las soluciones de extremo a extremo como PGP son el camino a seguir.
SSL generalmente protegerá la conexión entre usted y el host de la aplicación. Sin embargo, si la conexión SSL está comprometida (es decir, su empresa utiliza un proxy SSL para monitorear todo el tráfico en su red como si fuera un texto claro), entonces sus datos son vulnerables. Además, SSL no protege los datos en reposo en los servidores del host de la aplicación donde los usuarios malintencionados pueden explotarlos.
PGP protege los datos a lo largo de toda la ruta, desde su origen hasta su final destino, y protege los datos en reposo. La única forma de comprometer los datos es comprometer una de las máquinas de punto final, obtener una copia de una clave privada autorizada o encontrar una debilidad en los algoritmos de cifrado utilizados. En general, esto lo protegerá de personas internas malintencionadas y ataques de intermediarios. Sin embargo, todavía debe estar alerta contra el malware y los actores maliciosos con acceso físico a cualquiera de los puntos finales.
En ese último punto, es bueno recordar algunas de las Diez leyes inmutables de seguridad :
Ley n.º 1: si un malvado puede persuadirte de que ejecutes su programa en tu computadora, ya no es solo tu computadora.
...
Ley n.º 3: si un malvado tiene acceso físico sin restricciones a su computadora, ya no es su computadora.
...
Ley # 10: La tecnología no es una panacea.
Sin embargo, si realmente le temen a esas agencias gubernamentales u otros "grandes malos", probablemente debería mantener esto en mente.